「CISOは事業部門と共通の目標を持つこと」は教科書的な言葉で聞く方も「また抽象的な話か……」と飽き飽きするだろう。だが、東京オリンピック・パラリンピック2020では「事業部門と共通の目標を持つ」ことに成功し、さらにその目標を無事に達成した。その要因は何だったのだろうか。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
令和という時代に足を踏み入れてすぐ到来したコロナ禍このかた、先の見えない1年半が過ぎた。その間、「VPNを増やさなきゃ」「クラウドサービスを入れなきゃ」と、とにかく目先の問題解決に追われてきたIT管理者やセキュリティ担当者もいるのではないだろうか。
だが、ようやくアフターコロナが見えてきた今、あらためて「緩んできたときにまたスキが出るのではないか」「サービスも変化するのではないか」と、少し先を見据えて考え始める余裕が生じてきた。ただ一方で、企業におけるセキュリティ被害は表沙汰になったものだけでも相次いでおり、「明日はわが身」の状態が続いている。その上、新たに「ゼロトラスト」というキーワードが飛び交い、新たなサービスが続々と登場している。
「セキュリティを守る側のサービスもカオス、業務を動かす側のサービスもカオスな状況となっている中、どうやってデータを守り、企業の存続を図り、ゼロトラストなんてものが実現できるのか」――アスタリスク・リサーチ 代表取締役 エグゼクティブ アドバイザの岡田良太郎氏は、「ITmedia Security Week 2021秋」の「CISOが、適切にセキュリティ機能とレベルを決めるには - 現状維持か変革かを分けるポイント」と題する講演において、このように問い掛けた。
だが、残念ながらそんな都合の良い技術は存在しない。
次々に新たなクラウドサービスが登場する中、「これは使ってはいけません、利用に当たっては申請してください」といったルールだけで従業員を縛るのは非現実的だ。その現実を踏まえた上で「どのように全体の統制を取り、さまざまな情報漏えい/流出リスクと戦っていくか」という課題にCISO(最高情報セキュリティ責任者)は直面している。つまり、「変革するかしないかではなく、どのように変革するかが肝になります」と岡田氏は指摘した。
岡田氏は、『CISOハンドブック』の上梓を機に、「CISOはいったい何と戦っているのか」についてしばしば考えるようになったという。
1つ目は、言わずと知れた外部からの脅威だ。たびたび報道されている通り、データやシステムを人質に取って数千万円、数億円といった多額の金額を要求してくるランサムウェアへの感染事例が相次いで発生している他、サプライチェーン経由の脅威も増大している。
2つ目は、「社会の要請」だ。メッセージアプリの「LINE」が、利用者の情報をどの国で管理しているかが大きな問題となった件は記憶に新しい。これをきっかけに「プライバシーの問題、利用者のデータがどの国で扱われているかが大事な問題だということに、あらためてスポットライトが当てられることになりました」(岡田氏)。いわゆる脆弱(ぜいじゃく)性やサイバー攻撃とは異なる問題だが、これもまた企業の事業継続や管理、ガバナンスに関わる重要なポイントだ。「自社のこの情報はどこに置いてあり、誰が管理しているのか、どの国で扱われているのか」を洗い出すことの重要性が再認識された。
3つ目は「社内」、つまり事業部門をはじめとする「身内」とのせめぎ合いだ。例えば「セキュリティ対策がどれだけプロフィッタブルな話なんですか、セキュリティをやっていてもうかるんですか」といった言葉を投げつけられたCISOもいることだろう。
この身内とのせめぎ合いを乗り越えるヒントとして岡田氏は、『Harvard Business Review』に掲載された「安心して助けを求められる組織を作る6箇条」を挙げた。中でも「どのようにして事業部門と共通の目標を持つか」が大きなポイントだ。
一般に、「事業部門と共通のゴールを立て、リスクに落とし込む」といった場合、まず「事業の構成を言葉にして、共通の目標を持つ」「それを支える関連システムとデータを明らかにする」といった、いかにも教科書的な言葉が並べられがちだ。聞く方も「また抽象的な話か……」と飽き飽きするだろう。
だが、日本の誰もが知るある組織が「事業部門と共通の目標を持つ」ことに成功し、さらにその目標を無事に達成している。
「それは東京オリンピック・パラリンピック2020(以下、オリパラ)です」(岡田氏)
コロナ禍の影響で1年延期となったオリパラだが、講演前日にパラリンピックの閉会式が行われ、無事に終了した。サイバーセキュリティの面でも「具体的なことはおいおい発表されると思いますが、細かな事象はいろいろあったものの、少なくとも事業目標を損なうような出来事は起きませんでした。素晴らしい成果です」と岡田氏は述べた。
事前には「オリンピックに対するサイバー攻撃」を懸念する声が多々あったにもかかわらず、一体、何が成功要因だったのだろうか。
1つ目は「サイバーコロッセオ」に代表される事前のトレーニングの徹底だ。
2つ目は、外部からの情報提供を歓迎するオープンな姿勢を取っていた点だ。
「見る目が多ければ多いほど、守れるものが増えます。企業が侵害に気付くきっかけの7割以上が顧客や他社からの指摘です。良いか悪いかは別にして、そうした指摘に対してオープンであり続けることが非常に大事だと思います」(岡田氏)
3つ目のポイントは、技術の言葉ではなく平易な言葉で目標を立てたことだ。
岡田氏が「何より大きな学びが得られる資料」として紹介したのが、NISC(内閣サイバーセキュリティセンター)がまとめた「オリパラのサイバーセキュリティ確保に向けたリスク評価資料一式」だ。
ここには、岡田氏が先ほど指摘した「事業部門と共通のゴールを立て、リスクに落とし込む」ための計画が全てまとめられており、CISOにとってまさに「宝の山」だという。
この資料の最大のポイントは、「事業目標を技術の言葉ではなく、関係者が全員心から同意できる分かりやすい言葉で記述していること」(岡田氏)だ。
例えば「会場設営が予定通り実施できる」「開閉会式のプログラムが予定通り安全に実施できる」「選手が能力を発揮できる」といった具合に、運営や準備をする人々、あるいはそこにやってくる人々の姿を思い描き、「彼らを守るために何をすべきか」という視点で全ての事柄が書かれている。
「達成したい目的を平易な日本語で、皆が合意できる言葉で書く。しかも平易なだけではなく真を突いていることがポイントです」(岡田氏)
こうした共通目標があれば、何をどのように、またどのような優先順位で進めていくべきかを考えるのも容易になる。
「『予定通り』という言葉を踏まえればスケジュールを守ることが重要だと判断できるし、『選手の能力の発揮』とあれば、選手村からの送迎システムに必要な環境を提供するという目標に向け、メインの手段は何で、バックアップ手段はどうすべきかといった事柄を考えることができます」(岡田氏)
資料群の中には、サービスを棚卸しし、かつそれらがオリパラとして掲げた5つの事業目標のどれに該当するかをマッピングした資料も含まれている。「一つ一つ関連するサービスを全てマッピングし、5つの事業目標のうちどれに当てはまるのか、それが何時間、何日間止まっても大丈夫で、大丈夫ではない場合別のプランに置き換えることができるか……といったことをプロファイルしています。その入口が、サイバーの言葉ではなく業務の言葉で書かれている点が本当に優れていると思います」(岡田氏)
さらに、こうしてサービスを整理した上で、完全性や可用性、機密性を確保するために、具体的にどのようなセキュリティ技術とマッピングしていくべきかをまとめた資料の他、復旧プランやサイバー演習のテンプレートなど、豊富な資料が含まれている。「これだけのサンプルがあれば、自分もやってみようかなという気持ちになるのではないでしょうか。これがオリパラのレガシーだと思います」(岡田氏)
達成したい目標を平易な言葉で書くことによって、事業にとってどうしても大事な要素は何なのかも見えてくる。「最悪の場合に、どのようにオペレーションを継続するのか」「手動でのオペレーションも含めて、どのような第二の矢、第三の矢を用意して備えるか」のブレークダウンも可能になる。
IT環境もセキュリティ対策も、インシデントレスポンス手順もバラバラになっているのが企業システムの現実だ。その中ではCISOがいくら「セキュリティの言葉」で呼び掛けても、誰も付いては来ない。
岡田氏は「セキュリティの目標をセキュリティの言葉で語るから皆、付いて来ないんです。事業部門にも分かり、皆で共有でき、達成できたら皆で『良かったね』と言えるような目標を持つべきなんです。ぜひ、オリパラが残したレガシーを参考にしながら、『目標の言語化』をはじめ、ITシステムとのマッピング、ロードマップの作成といった取り組みを進めてほしい」と呼び掛けた。
Copyright © ITmedia, Inc. All Rights Reserved.
Security & Trust 鬮ォ�ェ陋滂ソス�ス�コ闕オ譁溷クキ�ケ譎「�ス�ウ驛「�ァ�ス�ュ驛「譎「�ス�ウ驛「�ァ�ス�ー